SD-WAN வழியாக எங்களிடம் வரத் தொடங்கிய கேள்விகளின் எண்ணிக்கையைப் பொறுத்து, தொழில்நுட்பம் ரஷ்யாவில் முழுமையாக வேரூன்றத் தொடங்கியது. விற்பனையாளர்கள், இயற்கையாகவே, தூங்கவில்லை மற்றும் அவர்களின் கருத்துக்களை வழங்குகிறார்கள், மேலும் சில துணிச்சலான முன்னோடிகள் ஏற்கனவே தங்கள் நெட்வொர்க்குகளில் அவற்றை செயல்படுத்துகின்றனர்.
நாங்கள் கிட்டத்தட்ட எல்லா விற்பனையாளர்களுடனும் பணிபுரிகிறோம், எங்கள் ஆய்வகத்தில் பல ஆண்டுகளாக நான் மென்பொருள்-வரையறுக்கப்பட்ட தீர்வுகளின் ஒவ்வொரு பெரிய டெவலப்பரின் கட்டமைப்பையும் ஆராய முடிந்தது. Fortinet இலிருந்து SD-WAN இங்கே சற்று விலகி நிற்கிறது, இது ஃபயர்வால் மென்பொருளில் தகவல் தொடர்பு சேனல்களுக்கு இடையில் போக்குவரத்தை சமநிலைப்படுத்தும் செயல்பாட்டை உருவாக்கியது. தீர்வு மிகவும் ஜனநாயகமானது, எனவே இது பொதுவாக உலகளாவிய மாற்றங்களுக்கு இன்னும் தயாராக இல்லாத நிறுவனங்களால் கருதப்படுகிறது, ஆனால் அவர்களின் தொடர்பு சேனல்களை மிகவும் திறம்பட பயன்படுத்த விரும்புகிறது.
இந்தக் கட்டுரையில் Fortinet இலிருந்து SD-WAN ஐ எவ்வாறு கட்டமைப்பது மற்றும் வேலை செய்வது என்பதை நான் உங்களுக்குச் சொல்ல விரும்புகிறேன், இந்த தீர்வு யாருக்கு ஏற்றது மற்றும் இங்கே நீங்கள் சந்திக்கும் ஆபத்துக்கள் என்ன.
SD-WAN சந்தையில் உள்ள மிக முக்கியமான வீரர்களை இரண்டு வகைகளில் ஒன்றாக வகைப்படுத்தலாம்:
1. புதிதாக SD-WAN தீர்வுகளை உருவாக்கிய ஸ்டார்ட்அப்கள். இவற்றில் மிகவும் வெற்றிகரமானவை, பெரிய நிறுவனங்களால் வாங்கப்பட்ட பிறகு வளர்ச்சிக்கான பெரும் உத்வேகத்தைப் பெறுகின்றன - இது Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia ஆகியவற்றின் கதை.
2. SD-WAN தீர்வுகளை உருவாக்கிய பெரிய நெட்வொர்க் விற்பனையாளர்கள், தங்கள் பாரம்பரிய ரவுட்டர்களின் நிரலாக்கத்திறன் மற்றும் மேலாண்மைத் திறனை வளர்த்துக் கொள்கின்றனர் - இது ஜூனிபர், Huawei இன் கதை.
ஃபோர்டினெட் அதன் வழியைக் கண்டுபிடிக்க முடிந்தது. ஃபயர்வால் மென்பொருளானது உள்ளமைக்கப்பட்ட செயல்பாட்டைக் கொண்டிருந்தது, இது அவற்றின் இடைமுகங்களை மெய்நிகர் சேனல்களாக இணைப்பதை சாத்தியமாக்கியது மற்றும் வழக்கமான ரூட்டிங் உடன் ஒப்பிடும்போது சிக்கலான வழிமுறைகளைப் பயன்படுத்தி அவற்றுக்கிடையேயான சுமையை சமப்படுத்தியது. இந்த செயல்பாடு SD-WAN என்று அழைக்கப்பட்டது. Fortinet ஐ SD-WAN என்று அழைக்கலாமா? சாப்ட்வேர்-டிஃபைன்ட் என்பது டேட்டா பிளேன், பிரத்யேக கன்ட்ரோலர்கள் மற்றும் ஆர்கெஸ்ட்ரேட்டர்களில் இருந்து கட்டுப்பாட்டு விமானத்தை பிரிப்பது என்று சந்தை படிப்படியாக புரிந்து வருகிறது. Fortinet இல் அப்படி எதுவும் இல்லை. மையப்படுத்தப்பட்ட மேலாண்மை விருப்பமானது மற்றும் பாரம்பரிய Fortimanager கருவி மூலம் வழங்கப்படுகிறது. ஆனால் என் கருத்துப்படி, நீங்கள் சுருக்கமான உண்மையைத் தேடக்கூடாது மற்றும் விதிமுறைகளைப் பற்றி வாதிட்டு நேரத்தை வீணடிக்கக்கூடாது. நிஜ உலகில், ஒவ்வொரு அணுகுமுறைக்கும் அதன் நன்மைகள் மற்றும் தீமைகள் உள்ளன. அவற்றைப் புரிந்துகொள்வதும், பணிகளுக்கு ஏற்ற தீர்வுகளைத் தேர்ந்தெடுப்பதும் சிறந்த வழி.
Fortinet இலிருந்து SD-WAN எப்படி இருக்கும் மற்றும் அது என்ன செய்ய முடியும் என்பதை கையில் உள்ள ஸ்கிரீன்ஷாட்களுடன் சொல்ல முயற்சிக்கிறேன்.
எல்லாம் எப்படி வேலை செய்கிறது
இரண்டு தரவு சேனல்களால் இணைக்கப்பட்ட இரண்டு கிளைகள் உங்களிடம் உள்ளன என்று வைத்துக்கொள்வோம். வழக்கமான ஈத்தர்நெட் இடைமுகங்கள் LACP-Port-Channel இல் எவ்வாறு இணைக்கப்படுகின்றன என்பதைப் போலவே இந்தத் தரவு இணைப்புகள் ஒரு குழுவாக இணைக்கப்படுகின்றன. பழைய காலத்தவர்கள் PPP மல்டிலிங்கை நினைவில் வைத்திருப்பார்கள் - இது ஒரு பொருத்தமான ஒப்புமையும் கூட. சேனல்கள் இயற்பியல் போர்ட்களாகவும், VLAN SVI ஆகவும், VPN அல்லது GRE சுரங்கங்களாகவும் இருக்கலாம்.
இணையத்தில் கிளை உள்ளூர் நெட்வொர்க்குகளை இணைக்கும்போது VPN அல்லது GRE பொதுவாகப் பயன்படுத்தப்படுகிறது. மற்றும் இயற்பியல் போர்ட்கள் - தளங்களுக்கிடையில் L2 இணைப்புகள் இருந்தால், அல்லது ஒரு பிரத்யேக MPLS/VPN மூலம் இணைக்கும் போது, மேலடுக்கு மற்றும் குறியாக்கம் இல்லாமல் இணைப்பில் திருப்தி அடைந்தால். SD-WAN குழுவில் இயற்பியல் போர்ட்கள் பயன்படுத்தப்படும் மற்றொரு காட்சியானது இணையத்திற்கான பயனர்களின் உள்ளூர் அணுகலை சமநிலைப்படுத்துவதாகும்.
எங்கள் நிலைப்பாட்டில் நான்கு ஃபயர்வால்கள் மற்றும் இரண்டு VPN சுரங்கங்கள் இரண்டு "தொடர்பு ஆபரேட்டர்கள்" மூலம் இயங்குகின்றன. வரைபடம் இதுபோல் தெரிகிறது:
VPN சுரங்கங்கள் இடைமுகப் பயன்முறையில் கட்டமைக்கப்படுகின்றன, இதனால் அவை P2P இடைமுகங்களில் IP முகவரிகளைக் கொண்ட சாதனங்களுக்கிடையேயான புள்ளி-க்கு-புள்ளி இணைப்புகளைப் போலவே இருக்கும், இது ஒரு குறிப்பிட்ட சுரங்கப்பாதை மூலம் தொடர்பு செயல்படுவதை உறுதிசெய்ய பிங் செய்யப்படலாம். போக்குவரத்தை குறியாக்கம் செய்து எதிர்புறம் செல்ல, அதை சுரங்கப்பாதையில் செலுத்தினால் போதும். சப்நெட்களின் பட்டியலைப் பயன்படுத்தி குறியாக்கத்திற்கான போக்குவரத்தைத் தேர்ந்தெடுப்பது மாற்று ஆகும், இது கட்டமைப்பு மிகவும் சிக்கலானதாக இருப்பதால் நிர்வாகியை பெரிதும் குழப்புகிறது. ஒரு பெரிய நெட்வொர்க்கில், நீங்கள் VPN ஐ உருவாக்க ADVPN தொழில்நுட்பத்தைப் பயன்படுத்தலாம்; இது சிஸ்கோவின் DMVPN அல்லது Huawei இன் DVPN இன் அனலாக் ஆகும், இது எளிதாக அமைக்க அனுமதிக்கிறது.
இரண்டு பக்கங்களிலும் BGP ரூட்டிங் கொண்ட இரண்டு சாதனங்களுக்கான தளத்திலிருந்து தளத்திற்கு VPN கட்டமைப்பு
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
நான் உரை வடிவத்தில் கட்டமைப்பை வழங்குகிறேன், ஏனெனில், என் கருத்துப்படி, VPN ஐ இந்த வழியில் கட்டமைப்பது மிகவும் வசதியானது. ஏறக்குறைய எல்லா அமைப்புகளும் இருபுறமும் ஒரே மாதிரியானவை; உரை வடிவத்தில் அவை நகல்-பேஸ்டாக உருவாக்கப்படலாம். இணைய இடைமுகத்தில் நீங்கள் அதையே செய்தால், தவறு செய்வது எளிது - எங்காவது ஒரு சரிபார்ப்பு அடையாளத்தை மறந்து, தவறான மதிப்பை உள்ளிடவும்.
மூட்டையில் இடைமுகங்களைச் சேர்த்த பிறகு
அனைத்து வழிகளும் பாதுகாப்புக் கொள்கைகளும் அதைக் குறிக்கலாம், அதில் உள்ள இடைமுகங்களைக் குறிக்க முடியாது. குறைந்தபட்சம், உள் நெட்வொர்க்குகளிலிருந்து SD-WAN க்கு டிராஃபிக்கை அனுமதிக்க வேண்டும். நீங்கள் அவர்களுக்கான விதிகளை உருவாக்கும்போது, IPS, வைரஸ் தடுப்பு மற்றும் HTTPS வெளிப்பாடு போன்ற பாதுகாப்பு நடவடிக்கைகளைப் பயன்படுத்தலாம்.
SD-WAN விதிகள் தொகுப்புக்காக கட்டமைக்கப்பட்டுள்ளன. இவை குறிப்பிட்ட போக்குவரத்திற்கான சமநிலை அல்காரிதத்தை வரையறுக்கும் விதிகள். கொள்கை அடிப்படையிலான ரூட்டிங்கில் உள்ள ரூட்டிங் கொள்கைகளைப் போலவே இருக்கும், பாலிசியின் கீழ் ட்ராஃபிக் குறைவதால் மட்டுமே, அடுத்த ஹாப் அல்லது வழக்கமான வெளிச்செல்லும் இடைமுகம் நிறுவப்படவில்லை, ஆனால் SD-WAN பண்டில் பிளஸில் சேர்க்கப்பட்ட இடைமுகங்கள் இந்த இடைமுகங்களுக்கிடையில் ஒரு போக்குவரத்து சமநிலைப்படுத்தும் அல்காரிதம்.
L3-L4 தகவல், அங்கீகரிக்கப்பட்ட பயன்பாடுகள், இணையச் சேவைகள் (URL மற்றும் IP), அத்துடன் பணிநிலையங்கள் மற்றும் மடிக்கணினிகளின் அங்கீகரிக்கப்பட்ட பயனர்கள் மூலம் போக்குவரத்தை பொதுவான ஓட்டத்திலிருந்து பிரிக்கலாம். இதற்குப் பிறகு, ஒதுக்கப்பட்ட போக்குவரத்திற்கு பின்வரும் சமநிலை அல்காரிதம்களில் ஒன்றை ஒதுக்கலாம்:
இடைமுக விருப்பத்தேர்வு பட்டியலில், இந்த வகையான போக்குவரத்தை வழங்கும் தொகுப்பில் ஏற்கனவே சேர்க்கப்பட்டவற்றிலிருந்து அந்த இடைமுகங்கள் தேர்ந்தெடுக்கப்பட்டன. எல்லா இடைமுகங்களையும் சேர்ப்பதன் மூலம், விலையுயர்ந்த சேனல்களை அதிக SLA உடன் சுமக்க விரும்பவில்லை என்றால், எந்த சேனல்களை நீங்கள் பயன்படுத்துகிறீர்கள், மின்னஞ்சலைப் பயன்படுத்துகிறீர்கள் என்பதைக் கட்டுப்படுத்தலாம். FortiOS 6.4.1 இல், SD-WAN தொகுப்பில் சேர்க்கப்பட்ட இடைமுகங்களை மண்டலங்களாகக் குழுவாக்க முடிந்தது, எடுத்துக்காட்டாக, தொலைத் தளங்களுடன் தொடர்புகொள்வதற்காக ஒரு மண்டலத்தையும், NAT ஐப் பயன்படுத்தி உள்ளூர் இணைய அணுகலுக்காக மற்றொரு மண்டலத்தையும் உருவாக்குகிறது. ஆம், ஆம், வழக்கமான இணையத்திற்குச் செல்லும் போக்குவரத்தையும் சமநிலைப்படுத்தலாம்.
அல்காரிதம்களை சமநிலைப்படுத்துவது பற்றி
Fortigate (Fortinet இலிருந்து ஒரு ஃபயர்வால்) சேனல்களுக்கு இடையில் போக்குவரத்தை எவ்வாறு பிரிக்க முடியும் என்பது குறித்து, சந்தையில் மிகவும் பொதுவானதாக இல்லாத இரண்டு சுவாரஸ்யமான விருப்பங்கள் உள்ளன:
குறைந்த விலை (SLA) - இந்த நேரத்தில் SLA ஐ திருப்திப்படுத்தும் அனைத்து இடைமுகங்களிலிருந்தும், நிர்வாகியால் கைமுறையாக அமைக்கப்பட்ட குறைந்த எடை (செலவு) தேர்ந்தெடுக்கப்பட்டது; இந்த பயன்முறை காப்புப்பிரதிகள் மற்றும் கோப்பு பரிமாற்றங்கள் போன்ற "மொத்த" போக்குவரத்திற்கு ஏற்றது.
சிறந்த தரம் (SLA) - இந்த வழிமுறை, வழக்கமான தாமதம், நடுக்கம் மற்றும் ஃபோர்டிகேட் பாக்கெட்டுகளின் இழப்பு ஆகியவற்றுடன், சேனல்களின் தரத்தை மதிப்பிடுவதற்கு தற்போதைய சேனல் சுமையையும் பயன்படுத்தலாம்; இந்த பயன்முறை VoIP மற்றும் வீடியோ கான்பரன்சிங் போன்ற முக்கியமான போக்குவரத்திற்கு ஏற்றது.
இந்த வழிமுறைகளுக்கு ஒரு தகவல் தொடர்பு சேனல் செயல்திறன் மீட்டர் அமைக்க வேண்டும் - செயல்திறன் SLA. SLA உடன் இணங்குவது பற்றிய தகவலை இந்த மீட்டர் அவ்வப்போது (சரிபார்ப்பு இடைவெளி) கண்காணிக்கிறது: பாக்கெட் இழப்பு, தகவல்தொடர்பு சேனலில் தாமதம் மற்றும் நடுக்கம், மேலும் தற்போது தர வரம்புகளை சந்திக்காத சேனல்களை "நிராகரிக்க" முடியும் - அவை அதிக பாக்கெட்டுகளை இழக்கின்றன அல்லது அனுபவிக்கின்றன. மிகவும் தாமதம். கூடுதலாக, மீட்டர் சேனலின் நிலையைக் கண்காணிக்கிறது, மேலும் மீண்டும் மீண்டும் பதில்களை இழந்தால் (செயலற்றதற்கு முன் தோல்விகள்) அதைத் தொகுப்பிலிருந்து தற்காலிகமாக அகற்றலாம். மீட்டமைக்கப்படும் போது, பல தொடர்ச்சியான பதில்களுக்குப் பிறகு (இணைப்பை மீட்டமைக்கவும்), மீட்டர் தானாகவே சேனலை மூட்டைக்குத் திருப்பிவிடும், மேலும் அதன் மூலம் தரவு மீண்டும் அனுப்பப்படும்.
"மீட்டர்" அமைப்பு இது போல் தெரிகிறது:
இணைய இடைமுகத்தில், ICMP-Echo-request, HTTP-GET மற்றும் DNS கோரிக்கை ஆகியவை சோதனை நெறிமுறைகளாகக் கிடைக்கும். கட்டளை வரியில் இன்னும் கொஞ்சம் விருப்பங்கள் உள்ளன: TCP-echo மற்றும் UDP-echo விருப்பங்கள் உள்ளன, அத்துடன் ஒரு சிறப்பு தர அளவீட்டு நெறிமுறை - TWAMP.
அளவீட்டு முடிவுகளை இணைய இடைமுகத்திலும் காணலாம்:
மற்றும் கட்டளை வரியில்:
பழுது நீக்கும்
நீங்கள் ஒரு விதியை உருவாக்கினாலும், எதிர்பார்த்தபடி எல்லாம் செயல்படவில்லை என்றால், SD-WAN விதிகள் பட்டியலில் உள்ள ஹிட் கவுண்ட் மதிப்பைப் பார்க்க வேண்டும். போக்குவரத்து இந்த விதிக்குள் வருமா என்பதை இது காண்பிக்கும்:
மீட்டரின் அமைப்புகள் பக்கத்தில், காலப்போக்கில் சேனல் அளவுருக்களில் ஏற்படும் மாற்றத்தைக் காணலாம். புள்ளியிடப்பட்ட கோடு அளவுருவின் வாசல் மதிப்பைக் குறிக்கிறது
இணைய இடைமுகத்தில், பரிமாற்றப்பட்ட/பெறப்பட்ட தரவு மற்றும் அமர்வுகளின் எண்ணிக்கையால் போக்குவரத்து எவ்வாறு விநியோகிக்கப்படுகிறது என்பதைக் காணலாம்:
இவை அனைத்திற்கும் மேலாக, அதிகபட்ச விவரங்களுடன் பாக்கெட்டுகளின் பத்தியைக் கண்காணிக்க ஒரு சிறந்த வாய்ப்பு உள்ளது. உண்மையான நெட்வொர்க்கில் பணிபுரியும் போது, சாதன கட்டமைப்பு பல ரூட்டிங் கொள்கைகள், ஃபயர்வால்லிங் மற்றும் SD-WAN போர்ட்களில் போக்குவரத்து விநியோகம் ஆகியவற்றைக் குவிக்கிறது. இவை அனைத்தும் சிக்கலான முறையில் ஒருவருக்கொருவர் தொடர்பு கொள்கின்றன, மேலும் விற்பனையாளர் பாக்கெட் செயலாக்க வழிமுறைகளின் விரிவான தொகுதி வரைபடங்களை வழங்கினாலும், கோட்பாடுகளை உருவாக்க மற்றும் சோதிக்க முடியாது, ஆனால் போக்குவரத்து உண்மையில் எங்கு செல்கிறது என்பதைப் பார்ப்பது மிகவும் முக்கியம்.
எடுத்துக்காட்டாக, பின்வரும் கட்டளைகளின் தொகுப்பு
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
10.200.64.15 என்ற மூல முகவரி மற்றும் 10.1.7.2 இலக்கு முகவரியுடன் இரண்டு பாக்கெட்டுகளைக் கண்காணிக்க உங்களை அனுமதிக்கிறது.
நாங்கள் 10.7.1.2 ஐ 10.200.64.15 இலிருந்து இரண்டு முறை பிங் செய்து கன்சோலில் உள்ள வெளியீட்டைப் பார்க்கிறோம்.
முதல் தொகுப்பு:
இரண்டாவது தொகுப்பு:
ஃபயர்வால் பெற்ற முதல் பாக்கெட் இங்கே:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
அவருக்காக ஒரு புதிய அமர்வு உருவாக்கப்பட்டது:
msg="allocate a new session-0006a627"
ரூட்டிங் கொள்கை அமைப்புகளில் ஒரு பொருத்தம் கண்டறியப்பட்டது
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
விபிஎன் சுரங்கங்களில் ஒன்றிற்கு பாக்கெட் அனுப்பப்பட வேண்டும் என்று மாறிவிடும்:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
ஃபயர்வால் கொள்கைகளில் பின்வரும் அனுமதிக்கும் விதி கண்டறியப்பட்டுள்ளது:
msg="Allowed by Policy-3:"
பாக்கெட் குறியாக்கம் செய்யப்பட்டு VPN சுரங்கப்பாதைக்கு அனுப்பப்படுகிறது:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
மறைகுறியாக்கப்பட்ட பாக்கெட் இந்த WAN இடைமுகத்திற்கான நுழைவாயில் முகவரிக்கு அனுப்பப்படுகிறது:
msg="send to 2.2.2.2 via intf-WAN1"
இரண்டாவது பாக்கெட்டில், எல்லாமே ஒரே மாதிரியாக நடக்கும், ஆனால் அது மற்றொரு VPN சுரங்கப்பாதைக்கு அனுப்பப்பட்டு வேறு ஃபயர்வால் போர்ட் வழியாக வெளியேறுகிறது:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
தீர்வு நன்மைகள்
நம்பகமான செயல்பாடு மற்றும் பயனர் நட்பு இடைமுகம். SD-WAN வருவதற்கு முன்பு FortiOS இல் இருந்த அம்சத் தொகுப்பு முழுமையாகப் பாதுகாக்கப்பட்டுள்ளது. அதாவது, எங்களிடம் புதிதாக உருவாக்கப்பட்ட மென்பொருள் இல்லை, ஆனால் நிரூபிக்கப்பட்ட ஃபயர்வால் விற்பனையாளரின் முதிர்ந்த அமைப்பு. பாரம்பரிய நெட்வொர்க் செயல்பாடுகளுடன், வசதியான மற்றும் எளிதாகக் கற்றுக்கொள்ளக்கூடிய இணைய இடைமுகம். இறுதிச் சாதனங்களில் எத்தனை SD-WAN விற்பனையாளர்கள் தொலைநிலை அணுகல் VPN செயல்பாட்டைக் கொண்டுள்ளனர்?
பாதுகாப்பு நிலை 80. ஃபோர்டிகேட் சிறந்த ஃபயர்வால் தீர்வுகளில் ஒன்றாகும். ஃபயர்வால்களை அமைப்பதற்கும் நிர்வகிப்பதற்கும் இணையத்தில் நிறைய விஷயங்கள் உள்ளன, மேலும் தொழிலாளர் சந்தையில் விற்பனையாளரின் தீர்வுகளை ஏற்கனவே தேர்ச்சி பெற்ற பல பாதுகாப்பு நிபுணர்கள் உள்ளனர்.
SD-WAN செயல்பாட்டிற்கான பூஜ்ஜிய விலை. FortiGate இல் SD-WAN நெட்வொர்க்கை உருவாக்குவது வழக்கமான WAN நெட்வொர்க்கை உருவாக்குவதற்கு சமமாக செலவாகும், ஏனெனில் SD-WAN செயல்பாட்டை செயல்படுத்த கூடுதல் உரிமங்கள் தேவையில்லை.
குறைந்த நுழைவு தடை விலை. ஃபோர்டிகேட் வெவ்வேறு செயல்திறன் நிலைகளுக்கான சாதனங்களின் நல்ல தரத்தைக் கொண்டுள்ளது. 3-5 ஊழியர்களால் அலுவலகம் அல்லது விற்பனை புள்ளியை விரிவுபடுத்துவதற்கு இளைய மற்றும் மிகவும் மலிவான மாதிரிகள் மிகவும் பொருத்தமானவை. பல விற்பனையாளர்கள் வெறுமனே குறைந்த செயல்திறன் மற்றும் மலிவு மாதிரிகள் இல்லை.
உயர் செயல்திறன். SD-WAN செயல்பாட்டை டிராஃபிக் சமநிலைக்குக் குறைப்பது நிறுவனம் ஒரு சிறப்பு SD-WAN ASIC ஐ வெளியிட அனுமதித்தது, இதற்கு நன்றி SD-WAN செயல்பாடு ஃபயர்வாலின் செயல்திறனைக் குறைக்காது.
Fortinet உபகரணங்களில் முழு அலுவலகத்தையும் செயல்படுத்தும் திறன். இவை ஒரு ஜோடி ஃபயர்வால்கள், சுவிட்சுகள், வைஃபை அணுகல் புள்ளிகள். அத்தகைய அலுவலகம் நிர்வகிக்க எளிதானது மற்றும் வசதியானது - சுவிட்சுகள் மற்றும் அணுகல் புள்ளிகள் ஃபயர்வால்களில் பதிவு செய்யப்பட்டு அவற்றிலிருந்து நிர்வகிக்கப்படுகின்றன. எடுத்துக்காட்டாக, இந்த சுவிட்சைக் கட்டுப்படுத்தும் ஃபயர்வால் இடைமுகத்தில் இருந்து சுவிட்ச் போர்ட் எப்படி இருக்கும்:
தோல்வியின் ஒற்றை புள்ளியாக கட்டுப்படுத்திகள் இல்லாதது. விற்பனையாளர் தானே இதில் கவனம் செலுத்துகிறார், ஆனால் இது ஒரு பகுதியாக மட்டுமே ஒரு நன்மை என்று அழைக்கப்படும், ஏனென்றால் கட்டுப்படுத்திகளைக் கொண்ட விற்பனையாளர்களுக்கு, அவர்களின் தவறு சகிப்புத்தன்மை மலிவானது, பெரும்பாலும் மெய்நிகராக்க சூழலில் ஒரு சிறிய அளவிலான கணினி வளங்களின் விலையில்.
என்ன பார்க்க
கண்ட்ரோல் பிளேன் மற்றும் டேட்டா பிளேன் இடையே பிரிப்பு இல்லை. இதன் பொருள் பிணையம் கைமுறையாக கட்டமைக்கப்பட வேண்டும் அல்லது ஏற்கனவே உள்ள பாரம்பரிய மேலாண்மை கருவிகளைப் பயன்படுத்த வேண்டும் - FortiManager. அத்தகைய பிரிவைச் செயல்படுத்திய விற்பனையாளர்களுக்கு, நெட்வொர்க் தன்னைத்தானே திரட்டுகிறது. நிர்வாகி அதன் இடவியலை மட்டும் சரிசெய்ய வேண்டும், எங்காவது எதையாவது தடை செய்ய வேண்டும், அதற்கு மேல் எதுவும் இல்லை. இருப்பினும், FortiManager இன் துருப்புச் சீட்டு என்னவென்றால், அது ஃபயர்வால்களை மட்டுமல்ல, சுவிட்சுகள் மற்றும் Wi-Fi அணுகல் புள்ளிகளையும், அதாவது கிட்டத்தட்ட முழு நெட்வொர்க்கையும் நிர்வகிக்க முடியும்.
கட்டுப்பாட்டில் நிபந்தனை அதிகரிப்பு. நெட்வொர்க் உள்ளமைவை தானியக்கமாக்குவதற்கு பாரம்பரிய கருவிகள் பயன்படுத்தப்படுவதால், SD-WAN அறிமுகத்துடன் பிணைய மேலாண்மை சற்று அதிகரிக்கிறது. மறுபுறம், புதிய செயல்பாடு விரைவாகக் கிடைக்கிறது, ஏனெனில் விற்பனையாளர் முதலில் அதை ஃபயர்வால் இயக்க முறைமைக்கு மட்டுமே வெளியிடுகிறார் (இது உடனடியாக அதைப் பயன்படுத்துவதை சாத்தியமாக்குகிறது), பின்னர் மட்டுமே மேலாண்மை அமைப்பை தேவையான இடைமுகங்களுடன் நிரப்புகிறது.
கட்டளை வரியிலிருந்து சில செயல்பாடுகள் கிடைக்கலாம், ஆனால் இணைய இடைமுகத்திலிருந்து கிடைக்காது. சில நேரங்களில் கட்டளை வரியில் எதையாவது கட்டமைக்க மிகவும் பயமாக இல்லை, ஆனால் யாரோ ஏற்கனவே கட்டளை வரியிலிருந்து எதையாவது கட்டமைத்திருப்பதை வலை இடைமுகத்தில் பார்க்காமல் இருப்பது பயமாக இருக்கிறது. ஆனால் இது வழக்கமாக புதிய அம்சங்களுக்கு பொருந்தும் மற்றும் படிப்படியாக, FortiOS புதுப்பிப்புகளுடன், வலை இடைமுகத்தின் திறன்கள் மேம்படுத்தப்படுகின்றன.
யார் பொருந்துவார்கள்
அதிக கிளைகள் இல்லாதவர்களுக்கு. 8-10 கிளைகள் கொண்ட நெட்வொர்க்கில் சிக்கலான மையக் கூறுகளுடன் SD-WAN தீர்வைச் செயல்படுத்துவது மெழுகுவர்த்திக்கு செலவாகாது - SD-WAN சாதனங்களுக்கான உரிமங்கள் மற்றும் மையக் கூறுகளை ஹோஸ்ட் செய்ய மெய்நிகராக்க அமைப்பு ஆதாரங்களுக்கு நீங்கள் பணம் செலவழிக்க வேண்டும். ஒரு சிறிய நிறுவனம் பொதுவாக வரையறுக்கப்பட்ட இலவச கணினி வளங்களைக் கொண்டுள்ளது. Fortinet விஷயத்தில், வெறுமனே ஃபயர்வால்களை வாங்கினால் போதும்.
சிறிய கிளைகள் அதிகம் உள்ளவர்களுக்கு. பல விற்பனையாளர்களுக்கு, ஒரு கிளைக்கான குறைந்தபட்ச தீர்வு விலை மிகவும் அதிகமாக உள்ளது மற்றும் இறுதி வாடிக்கையாளரின் வணிகத்தின் பார்வையில் சுவாரஸ்யமாக இருக்காது. Fortinet சிறிய சாதனங்களை மிகவும் கவர்ச்சிகரமான விலையில் வழங்குகிறது.
இன்னும் அதிக தூரம் செல்ல தயாராக இல்லாதவர்களுக்கு. கன்ட்ரோலர்கள், தனியுரிம ரூட்டிங் மற்றும் நெட்வொர்க் திட்டமிடல் மற்றும் நிர்வாகத்திற்கான புதிய அணுகுமுறையுடன் SD-WAN ஐ செயல்படுத்துவது சில வாடிக்கையாளர்களுக்கு மிகவும் பெரிய படியாக இருக்கலாம். ஆம், அத்தகைய செயலாக்கம் இறுதியில் தகவல் தொடர்பு சேனல்களின் பயன்பாடு மற்றும் நிர்வாகிகளின் பணியை மேம்படுத்த உதவும், ஆனால் முதலில் நீங்கள் நிறைய புதிய விஷயங்களைக் கற்றுக்கொள்ள வேண்டும். முன்னுதாரண மாற்றத்திற்கு இன்னும் தயாராக இல்லை, ஆனால் அவர்களின் தகவல்தொடர்பு சேனல்களில் இருந்து அதிகம் கசக்க விரும்புபவர்களுக்கு, Fortinet வழங்கும் தீர்வு சரியானது.
ஆதாரம்: www.habr.com